ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

Transcriptie

1 ROC Rivor 16 maart 2010 PRIVACYREGLEMENT ROC RIVOR

2 ARTIKEL 1 ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens (WBP) daaraan toekent Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Verwerking van persoonsgegevens Elke handeling of geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen en vernietigen van gegevens Eindverantwoordelijke Het College van Bestuur van ROC Rivor Bewerker Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen Gebruiker van persoonsgegevens Degene die als medewerker of anderszins geautoriseerd is persoonsgegevens te verwerken Betrokkene Degene op wie de persoonsgegevens betrekking heeft Opdrachtgever Een natuurlijke of rechtspersoon die aan ROC Rivor een opdracht tot dienstverlening heeft gegeven Derde Ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is persoonsgegevens te verwerken Toestemming van de betrokkene Elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat van hem betreffende persoonsgegevens worden verwerkt Verantwoordelijke Diegene die door het College van Bestuur zijn aangewezen om de verantwoording over de verwerking van persoonsgegevens in de praktijk te dragen. ARTIKEL 2 REIKWIJDTE VAN HET REGLEMENT 2.1. Dit reglement is van toepassing op alle persoonsgegevens van betrokkene, zijnde deelnemers, personeel en derden, die door de verantwoordelijke of in diens opdracht worden verwerkt. ARTIKEL 3 DOEL VAN DE VERWERKING VAN PERSOONSGEGEVENS 3.1. Het ROC Rivor verwerkt gegevens ten behoeve van de volgende doelen: De organisatie of het geven van onderwijs, de begeleiding van deelnemers dan wel het geven van studieadviezen; Het verstrekken of ter beschikking stellen van leermiddelen; Het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen en leermiddelen voor buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen; Het behandelen van geschillen; Het doen uitoefenen van accountantscontrole; Rapportage en verantwoording aan opdrachtgevers; Het voldoen aan de wettelijke verplichtingen. Privacyreglement ROC Rivor Pagina 1 van 7

3 3.2. Persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. ARTIKEL 4 VERWERKTE GEGEVENS 4.1 Geen andere gegevens worden verwerkt zoals vermeld in de Wet Bescherming Persoonsgegevens (WBP). ARTIKEL 5 EINDVERANTWOORDELIJKE VOOR DE VERWERKINGEN Het College van Bestuur van ROC Rivor is de eindverantwoordelijke voor de verwerking van persoonsgegevens. ARTIKEL 6 FEITELIJKE VERANTWOORDELIJKEN 6.1 Het hoofd Back Office neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van gegevens betreffende deelnemers die berusten bij de centrale deelnemersadministratie voor wat betreft de inschrijving en de studievoortgang. 6.2 Het hoofd Personeel en Organisatie neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van persoonsgegevens betreffende personeel die berusten op centraal niveau. 6.3 De directeur Services neemt, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën gegevens betreffende het beheer en de beveiliging van de gebouwen en voorzieningen van ROC Rivor. 6.4 De directeuren van de teams nemen, namens de verantwoordelijke, de verantwoordelijkheid waar voor wat betreft de categorieën van gegevens die daar berusten. 6.5 Een ieder die handelt onder het gezag van de eindverantwoordelijke, evenals de verantwoordelijke zelf, voor zover deze toegang heeft tot persoonsgegevens, verwerkt deze slechts in opdracht van de (eind)verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 6.6 Een ieder is verplicht tot geheimhouding van de persoonsgegevens van ROC Rivor waarvan hij of zij kennis neemt, behoudens voor zover enig wettelijk voorschrift hem of haar tot mededeling verplicht of uit zijn of haar taak de noodzaak tot mededeling voortvloeit. ARTIKEL 7 GEGEVENS VAN DEELNEMERS De gegevens betreffende studenten worden verzameld ten behoeve van: a. De organisatie en de invulling van het onderwijs; b. De diplomering en de administratie van de studievoorgang; c. De begeleiding van deelnemers; d. Het geven van studieadviezen; e. Het vertrekken of ter beschikking stellen van leermiddelen; f. Het berekenen, vastleggen of innen van college- en examengelden en andere bijdragen voor leermiddelen en activiteiten, waaronder begrepen het in handen van derden stellen van deze vorderingen; g. Het verzenden van voor deelnemers relevante informatie; h. Het behandelen van geschillen en het doen uitoefenen van accountantscontrole; i. Het beheer en de beveiliging van de gebouwen en voorzieningen van ROC Rivor; j. Het samenstellen van de kiesregisters. Privacyreglement ROC Rivor Pagina 2 van 7

4 ARTIKEL 8 GEGEVENS VAN PERSONEEL De gegevens betreffende personeel worden verzameld ten behoeve van: a. Het uitoefenen van de personeelsbeheerfunctie en de daarvoor noodzakelijke administratieve handelingen; b. Het verwerken van salarisaanspraken; c. De berekening, vastlegging en inning of afdracht van premies en belastingen; d. De voorbereiding van de door het management van ROC Rivor te nemen beleidsbeslissingen; e. Het geven van leiding aan de werkzaamheden van de betrokkene, de personeelsbegeleiding en beoordeling; f. De dienstverlening aan het personeel, alsmede bedrijfsmedische zorg en opleiding; g. De uitvoering van de voor betrokkene geldende arbeidsvoorwaarden; h. Het innen van vorderingen, waaronder begrepen het in handen van derden stellen van deze vorderingen; i. Het verzenden van voor personeel relevante informatie; j. Het behandelen van geschillen en het doen uitoefenen van accountantscontrole; k. Het beheer en de beveiliging van de gebouwen en voorzieningen van ROC Rivor; l. Het samenstellen van de kiesregisters. ARTIKEL 9 LEGITIEME VERWERKING 9.1. Persoonsgegevens mogen alleen worden verwerkt voor zover dit: a. geschiedt met ondubbelzinnige toestemming van betrokkene, of; b. noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst, of; c. verplicht is op grond van een wettelijk voorschrift, of; d. noodzakelijk is voor de vervulling van de taak van ROC Rivor, niet onverenigbaar is met de voor de verwerking vastgestelde doelstellingen, en in overeenstemming is met de overige bepalingen van deze regeling. 9.2 Bij de beoordeling of een verwerking verenigbaar is met de doelstelling waarvoor ze verkregen zijn, wordt in elk geval rekening gehouden met: a. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b. de aard van de betreffende gegevens; c. de gevolgen van de beoogde verwerking voor betrokkene; d. de wijze waarop de gegevens zijn verkregen; e. de mate waarin jegens betrokkene wordt voorzien in passende waarborgen Toestemming geldt als ondubbelzinnig indien bij de verantwoordelijke geen twijfel kan bestaan, dat betrokkene zijn toestemming heeft gegeven voor een bepaalde gegevensverwerking Verdere verwerking van gegevens voor historische, statistische of wetenschappelijke doeleinden wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden. ARTIKEL 10 TOEGANG TOT DE PERSOONSGEGEVENS Alleen die medewerkers hebben toegang tot de persoonsgegevens voor zover dat noodzakelijk is voor hun taakuitoefening en zoals vastgelegd in de functieomschrijving Een ieder die toegang heeft tot de persoonsgegevens heeft een geheimhoudingsplicht ter zake van de gegevens waarvan hij op grond van die toegang heeft kennisgenomen Derden die door ROC Rivor zijn ingehuurd om werkzaamheden te verrichten, hebben toegang tot de verwerking van persoonsgegevens, voor zover dit noodzakelijk is voor hun taakuitoefening en worden via een contractuele overeenkomst gehouden aan de geheimhoudingsplicht. Privacyreglement ROC Rivor Pagina 3 van 7

5 ARTIKEL 11 BEVEILIGING VAN DE PERSOONSGEGEVENS Er wordt zorgvuldig omgegaan met persoonsgegevens. Hiertoe worden de gegevens beveiligd De verantwoordelijke stelt beveiligingsvoorschriften voor de persoonsgegevens op. ARTIKEL 12 VERSTREKKING VAN PERSOONSGEGEVENS Tenzij zulks noodzakelijk is ter uitvoering van een wettelijk voorschrift is voor verstrekking van persoonsgegevens aan derden de toestemming nodig van betrokkene. ARTIKEL 13 INZAGE VAN OPGENOMEN GEGEVENS De betrokkene heeft recht op inzage in en afschrift van de op zijn/haar persoon betrekking hebbende gegevens. De betrokkene dient daartoe een verzoek in te dienen Aan een verzoek als bedoeld in dit artikel wordt binnen vier weken na ontvangst van het verzoek voldaan Het recht op inzage wordt alleen toegestaan aan betrokkene of diens gemachtigde. Betrokkene of diens gemachtigde dienen zich te kunnen legitimeren De verantwoordelijke kan weigeren aan een in dit artikel bedoeld verzoek te voldoen voor zover dit noodzakelijk is in het belang van de bescherming van de rechten en vrijheden van anderen, de voorkoming, opsporing en vervolging van strafbare feiten Voor de verstrekking en verzending van afschriften mag een vergoeding in rekening worden gebracht. De hoogte van deze vergoeding is vastgelegd in het Besluit kostenvergoeding rechten betrokkene WBP. Deze treft u aan in bijlage 1. ARTIKEL 14 AANVULLING, CORRECTIE OF VERWIJDEREN VAN OPGENOMEN GEGEVENS Desgevraagd worden de opgenomen gegevens aangevuld met een door de betrokkene afgegeven verklaring met betrekking tot de opgenomen gegevens Zijn opgenomen gegevens feitelijk onjuist, voor het doel van de verwerking onvolledig of niet ter zake dienend, dan wel in strijd met een wettelijk voorschrift van de verwerking, dan dient de betrokkene een schriftelijk verzoek in bij de verantwoordelijke waarin wordt verzocht om verbetering, aanvulling, verwijdering of afscherming van de gegevens. De verantwoordelijke beslist niet voordat de functionaris, die de gegevens heeft verzameld of diens opvolger of waarnemer, is gehoord Binnen vier weken na ontvangst van het verzoek bericht de verantwoordelijke de verzoeker schriftelijk of, dan wel in hoeverre aan het verzoek zal worden voldaan. Een weigering is met redenen omkleed Verwijdering blijft achterwege voor zover bewaring op grond van een wettelijk voorschrift vereist is De verantwoordelijke draagt zorg dat een beslissing tot aanvulling, correctie of verwijdering zo spoedig mogelijk wordt uitgevoerd In geval van verwijdering van gegevens wordt in de gegevens een verklaring opgenomen dat op verzoek van betrokkenen de gegevens zijn verwijderd. Privacyreglement ROC Rivor Pagina 4 van 7

6 ARTIKEL 15 RECHT VAN VERZET Indien gegevens worden verwerkt in verband met de totstandbrenging of de instandhouding van een directe relatie tussen de verantwoordelijke of een derde en de betrokkenen met het oog op werving voor commerciële of charitatieve doelen, moet de betrokkene uitdrukkelijke toestemming hebben gegeven voor deze verwerking. De betrokkene kan hiertegen bij de verantwoordelijke te allen tijde kosteloos verzet aantekenen De verantwoordelijke zal in het geval van verzet maatregelen treffen om deze vorm van verwerking terstond te beëindigen. ARTIKEL 16 BEWAARTERMIJNEN Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt Na beëindiging van een met een opdrachtgever gesloten overeenkomst worden ten aanzien van de gegevens waarvoor een wettelijke bewaar- en vernietigingsplicht geldt de termijnen in acht genomen die vastgelegd zijn het Basis Selectiedocument (BSD), zoals vastgesteld in de Staatscourant op 9 oktober (zie ook bijlage 2) ARTIKEL 17 KLACHTEN Indien de betrokkene van mening is dat de bepalingen van dit reglement niet worden nageleefd of indien hij andere redenen heeft tot klagen, dient hij zich te wenden tot de verantwoordelijke De klacht zal conform de regeling Klacht en Bezwaar in behandeling worden genomen. ARTIKEL 18 NADERE REGELS EN OVERIGE GEVALLEN 18.1 In gevallen waarin deze regeling niet voorziet beslist het College van Bestuur In aanvulling op dit reglement kunnen door het College van Bestuur nadere regels worden vastgesteld. ARTIKEL 19 INWERKTREDING EN CITEERTITEL In overleg met de Medezeggenschapsraad vastgesteld door het College van Bestuur d.d. 16 maart Privacyreglement ROC Rivor Pagina 5 van 7

7 Bijlage 1: Besluit Kostenvergoeding rechten betrokkene WBP Betrokkene kan een verzoek indienen bij het College van Bestuur om aan hem mede te delen of er persoonsgegevens worden verwerkt, en zo ja welke. De vergoeding voor de kosten van dit verzoek bedraagt 0,23 per pagina met een maximum bedrag van 4,50 per verzoek. Als de gegevens op een andere manier dan op papier worden verstrekt mag de verantwoordelijke een redelijke vergoeding in rekening brengen met dien verstande dat deze ten hoogste 4,50 bedraagt. Van deze regel mag afgeweken worden door een vergoeding van ten hoogste 22,50 te vragen als het afschrift uit meer dan honderd pagina s bestaat of als het bericht zeer moeilijk te verkrijgen is en onevenredig veel tijd kost vanwege de aard van verwerking. Bijvoorbeeld delen van gegevens zijn nog ondergebracht in een oud informatiesysteem, de gegevens zijn alleen nog beschikbaar via back-up procedures. Kortom er moet sprake zijn van een onevenredig grote inspanning. De verantwoordelijke mag voor de kosten voor het in behandeling nemen van een verzet, zoals bedoeld in artikel 10 van het privacyreglement, een redelijke vergoeding in rekening brengen, met dien verstande dat deze ten hoogste 4,50 bedraagt. Privacyreglement ROC Rivor Pagina 6 van 7

8 Bijlage 2: Bewaartermijnen Het wettelijk vastgestelde en in de Staatscourant gepubliceerde Basis Selectiedocument (BSD) heeft betrekking op het geheel van de bescheiden die de neerslag vormen van het administratieve handelen in het BVE veld. In het kader van dit reglement relevante termijnen zijn: Deelnemersregistratiegegevens ten behoeve van het verstrekken van persoonsgebonden gegevens aan IBG en overige inschrijvingsbescheiden: vernietigen na 7 jaar. Personeelsdossiers: vernietigen 10 jaar na beëindigen dienstverband; Gegevens uit salarisadministratie; vernietigen na 7 jaar. Uitslagenlijsten van examens: vernietigen na 30 jaar. Privacyreglement ROC Rivor Pagina 7 van 7